2
2
d) si prevede che, al fine di conseguire un risparmio di spesa, su proposta del Ministro delle infrastrutture e dei trasporti, con uno o più regolamenti siano adottate misure volte all’unificazione in un unico archivio telema-tico nazionale dei dati concernenti la proprietà e le caratteristiche tecniche dei veicoli attualmente inseriti nel Pubblico registro automobilistico e nel-l’archivio nazionale dei veicoli (art. 1, comma 427);
e) un’altra disposizione di interesse riguarda il tetto alle retribuzioni previsto dalle disposizioni di cui all’art. 23-ter, d.l. 6 dicembre 2011, n. 201, conver-tito, con modificazioni, dalla l. 22 dicembre 2011, n. 214, ora applicabile a chiunque riceva a carico delle finanze pubbliche retribuzioni o emolumenti comunque denominati in ragione di rapporti di lavoro subordinato o auto-nomo intercorrenti con le autorità amministrative indipendenti e con le pp.aa., ivi incluso il personale di diritto pubblico di cui all’art. 3 del testo unico sul pubblico impiego (art. 1, comma 471);
2) il decreto-legge 10 ottobre 2013, n. 114, convertito, con modificazioni, dalla l. 9 dicembre 2013, n. 135, in materia di proroga delle missioni internazionali delle Forze armate e di polizia, che prevede la pubblicità dell’ammontare del trattamento economico e delle spese per vitto, alloggio e viaggi del personale in missione, al fine di garantire la trasparenza di tali operazioni, nel rispetto della vigente legislazione in materia di protezione dei dati (art. 5, comma 6). In occasione della sua adozione è stato altresì approvato un ordine del giorno che impegna il Governo a disporre l’av-vio della raccolta dei dati sensibili riconducibili alle manifestazioni della sindrome da stress post-traumatico da combattimento, anche allo scopo di predisporre a vantag-gio degli interessati le misure di sostegno e riabilitazione necessarie (9/1670-A-R/88 Buonanno, Molteni, Fedriga);
3) il decreto-legge 12 settembre 2013, n. 104, convertito, con modificazioni, dalla l. 8 novembre 2013, n. 128, in materia di misure urgenti in materia di istruzione, uni-versità e ricerca, il quale prevede che le anagrafi regionali degli studenti e l’anagrafe nazionale degli studenti siano integrate nel sistema nazionale delle anagrafi degli stu-denti del sistema educativo di istruzione e di formazione (art. 13). Le modalità di inte-grazione e di accesso alle anagrafi saranno definite, prevedendo la funzione di coordi-namento del Miur, nel rispetto delle disposizioni dell’art. 3, comma 4, d.lgs. 15 aprile 2005, n. 76, previo parere del Garante. È altresì previsto che, per l’erogazione dei ser-vizi di propria competenza, gli enti locali possano accedere ai dati delle anagrafi degli studenti nel rispetto della normativa sulla protezione dei dati personali. Infine, per una migliore integrazione scolastica degli alunni disabili mediante l’assegnazione del per-sonale docente di sostegno, le istituzioni scolastiche sono autorizzate a trasmettere per via telematica alla banca dati dell’anagrafe nazionale degli studenti le diagnosi funzio-nali degli alunni interessati prive di elementi identificativi (art. 12, comma 5, l. n. 104/1992). Apposito decreto del Miur dovrà definire, previo parere del Garante, i cri-teri e le modalità concernenti la possibilità di accesso ai dati sensibili nonché la sicu-rezza dei medesimi, assicurando nell’ambito dell’anagrafe nazionale degli studenti, la separazione tra la partizione contenente le diagnosi funzionali e gli altri dati;
4) il decreto-legge 31 agosto 2013, n. 101, convertito, con modificazioni, dalla l. 30 ottobre 2013, n. 125, recante disposizioni urgenti per il perseguimento di obiettivi di razionalizzazione nelle pp.aa., del quale si segnalano in particolare due disposizioni:
a) l’art. 8-bis (Disposizioni riguardanti l’Istituto nazionale di statistica e il Sistema statistico nazionale), frutto di un emendamento del Governo, che apporta importanti modifiche al d.lgs. 6 settembre 1989, n. 322 (recante norme sul Sistema statistico nazionale). In primo luogo, si abroga
2
Sistema nazionale delle anagrafi degli studenti
Sistema statistico nazionale
il comma 2 dell’art. 6-bis (Trattamenti di dati personali), il quale preve-deva che nel Programma statistico nazionale (Psn) fossero illustrate le finalità perseguite e le garanzie previste dal decreto medesimo e dalla l. 31 dicembre 1996, n. 675. Al contempo, il comma in questione stabiliva che il programma (adottato sentito il Garante) indicasse anche i dati di cui agli artt. 22 e 24 della medesima legge, le rilevazioni per le quali i dati sono trattati e le modalità di trattamento (art. 8-bis, comma 1, lett. a). Con riferimento al Psn annualmente aggiornato, si prevedono, altresì, modalità di raccordo e di coordinamento con i programmi statistici pre-disposti a livello regionale e si individuano “le varianti che possono essere diffuse in forma disaggregata, ove ciò risulti necessario per soddisfare par-ticolari esigenze conoscitive anche di carattere internazionale o europeo” (art. 8-bis, comma 1, lett. c), nn. 1 e 2);
b) l’art. 11 sulla semplificazione e razionalizzazione del sistema di controllo della tracciabilità dei rifiuti (Sistri) e in materia di energia, il quale modi-fica, tra l’altro, l’art. 188-bis (Controllo della tracciabilità dei rifiuti) del d.lgs. 3 aprile 2006, n. 152, recante norme in materia ambientale, intro-ducendo il comma 4-bis (comma 7). Al riguardo si prevede che, con decreto del Ministro dell’ambiente e della tutela del territorio e del mare, si proceda periodicamente alla semplificazione e all’ottimizzazione del Sistri sulla base dell’evoluzione tecnologica. La norma è finalizzata, tra l’altro, “ad assicurare un’efficace tracciabilità dei rifiuti e a ridurre i costi di esercizio del sistema, anche mediante integrazioni con altri sistemi che trattano dati di logistica e mobilità delle merci e delle persone […] e ad assicurare la modi-fica, la sostituzione o l’evoluzione degli apparati tecnologici, anche con rife-rimento ai dispositivi periferici per la misura e certificazione dei dati”. Inoltre, anche al fine della riduzione dei costi, il Ministero dell’ambiente e della tutela del territorio e del mare, previo parere del Garante, può autoriz-zare il concessionario del sistema informativo a “rendere disponibile l’infor-mazione territoriale, nell’ambito della integrazione dei sistemi informativi pubblici, a favore di altri enti pubblici o società interamente a capitale pub-blico [...] anche al fine di fornire servizi aggiuntivi agli utenti. Sono comun-que assicurate la sicurezza e l’integrità dei dati di tracciabilità”;
5) il decreto-legge 14 agosto 2013, n. 93, convertito, con modificazioni, dalla l. 15 ottobre 2013, n. 119, recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di com-missariamento delle Province. Le seguenti disposizioni sono di particolare interesse:
a) l’art. 3, nel disporre misure di prevenzione per condotte di violenza dome-stica, prevede la possibilità per il questore di procedere all’ammonimento dell’autore di un fatto riconducibile al reato di cui all’art. 582, comma 2, c.p. (Lesione personale) nell’ambito di violenza domestica, anche in assenza di querela (comma 1); ad ogni modo, relativamente agli atti del procedi-mento per l’adozione dell’ammoniprocedi-mento dovranno essere omesse le genera-lità dell’eventuale segnalante (comma 4). Inoltre, si prevede che il Ministero dell’interno elabori annualmente un’analisi criminologica della violenza di genere, anche attraverso i dati contenuti nel Centro elaborazione dati interforze del Dipartimento della pubblica sicurezza. Tale analisi costitui-sce un’autonoma sezione della relazione annuale al Parlamento prevista dall’art. 113, l. n. 121/1981 (comma 3);
b) l’art. 5 è volto a promuovere un piano d’azione straordinario contro la vio-lenza sessuale e di genere tra le cui finalità si prevede, tra l’altro, un
raffor-2
Controllo della tracciabilità dei rifiuti (Sistri)
Violenza sessuale e di genere
zamento della collaborazione tra le istituzioni coinvolte, nonché una rac-colta strutturata dei dati del fenomeno anche attraverso il coordinamento di banche dati già esistenti;
c) l’art. 9 modifica le norme sul reato di frode informatica (art. 640-ter c.p.), prevedendo un incremento di pena quando il reato sia commesso con inde-bito utilizzo dell’identità digitale (comma 1). Inoltre, con la medesima disposizione si sarebbe dovuto modificare l’art. 24-bis, d.lgs. 8 giugno 2001, n. 231 (Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giu-ridica, a norma dell’art. 11 della l. 29 settembre 2000, n. 300), estendendo la sanzione prevista per i delitti informatici e per il trattamento illecito di dati (sanzione pecuniaria da cento a cinquecento quote) anche ai delitti previsti dalla Parte III, Titolo III, Capo II del Codice in materia di prote-zione dei dati personali; la disposiprote-zione è stata poi soppressa in fase di con-versione del decreto;
d) il medesimo art. 9, al comma 3, apporta modifiche al d.lgs. 13 agosto 2010, n. 141, recante l’attuazione della direttiva 2008/48/CE relativa ai contratti di credito ai consumatori. In particolare, è inserito il comma 7-bis all’art. 30-ter relativo all’istituzione di un sistema pubblico di prevenzione delle frodi nel settore del credito al consumo e dei pagamenti dilazionati o differiti, con specifico riferimento al furto di identità. Si prevede, al riguardo, che gli ade-renti (cioè le banche e gli altri soggetti che partecipano al sistema antifrode), nell’ambito della propria specifica attività, possano inviare all’ente gestore del sistema, istituito presso il Ministero dell’economia e delle finanze, richie-ste di verifica dell’autenticità dei dati contenuti nella documentazione for-nita dalle persone fisiche nei casi in cui ritengono utile, sulla base della valu-tazione degli elementi acquisiti, accertarne l’identità. Con tale norma si amplia il novero dei documenti oggetto di possibile riscontro per control-larne la autenticità e la riconducibilità al legittimo titolare, al di là delle ipo-tesi già indicate dal decreto legislativo e dal relativo regolamento di attua-zione in fase di adoattua-zione da parte del predetto Ministero. La modifica in questione, tuttavia, era stata già introdotta dal legislatore in sede di conver-sione del d.l. 21 giugno 2013, n. 69, recante disposizioni urgenti per il rilan-cio dell’economia, con l’art. 16-bis (Modifiche al d.lgs. 13 agosto 2010, n. 141, in materia di accesso alle banche dati pubbliche);
e) in tema di protezione civile, l’art. 10 modifica il d.lgs. 14 marzo 2013, n. 33, recante il riordino della disciplina riguardante gli obblighi di pubbli-cità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, aggiungendo il comma 1-bis all’art. 42 (Obblighi di pubblicazione concernenti gli interventi straordinari e di emergenza che comportano deroghe alla legislazione vigente). Il nuovo comma prevede che i commissari delegati di cui dall’art. 5, comma 4, della l. 24 febbraio 1992, n. 225, svolgano direttamente le funzioni di responsabili per la pre-venzione della corruzione di cui all’art. 1, comma 7, della l. 6 novembre 2012, n. 190 e le funzioni di responsabili per la trasparenza di cui all’art. 43, d.lgs. n. 33/2013;
6) il decreto-legge 8 agosto 2013, n. 91, convertito, con modificazioni, dalla l. 7 ottobre 2013, n. 112, recante disposizioni urgenti per la tutela, la valorizzazione e il rilancio dei beni e delle attività culturali e del turismo, in base al quale, al fine di ottimizzare le risorse disponibili e di facilitare il reperimento e l’uso dell’informa-zione culturale e scientifica, il Ministero dei beni e delle attività culturali e del turi-Frode informatica Sistema antifrode contro il furto di identità Obblighi in tema di trasparenza Beni culturali
smo ed il Ministero dell’istruzione, dell’università e della ricerca adottano strategie coordinate per l’unificazione delle banche dati rispettivamente gestite, quali quelle riguardanti l’Anagrafe nazionale della ricerca, il deposito legale dei documenti digi-tali e la documentazione bibliografica (art. 4);
7) la legge 6 agosto 2013, n. 97 recante disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2013, che prevede disposizioni di attuazione di norme europee. In particolare:
a) l’art. 9 reca disposizioni in materia di monitoraggio fiscale (Caso EU Pilot 1711/11/TAXU), modificando il d.l. 28 giugno 1990, n. 167, convertito, con modificazioni, dalla l. 4 agosto 1990, n. 227;
b) l’art. 28, reca modifiche al d.lgs. 10 agosto 2007, n. 162, in materia di indagini sugli incidenti ferroviari (Caso EU Pilot 1254/10/MOVE); c) l’art. 31 reca attuazione della decisione 2009/750/CE della Commissione
sulla definizione del servizio europeo di telepedaggio e dei relativi elementi tecnici (Caso EU Pilot 4176/12/MOVE);
8) la legge 6 agosto 2013, n. 96, recante la delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2013. La legge prevede l’attuazione di diverse direttive, alcune delle quali d’interesse sotto il profilo della protezione dei dati personali (contenenti apposite clausole di salvaguardia della normativa e delle garanzie per la protezione dei dati personali degli utenti), quali le direttive: 2011/16/EU sulla cooperazione amministrativa nel settore fiscale; 2011/24/EU concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera; 2011/82/UE sullo scam-bio transfrontaliero di informazioni sulle infrazioni in materia di sicurezza stradale (con riguardo alla quale l’Autorità ha partecipato ad un tavolo di lavoro presso l’uf-ficio legislativo del Ministro degli affari europei in relazione alla stesura dello schema di decreto legislativo attuativo e quindi reso il parere del 9 gennaio 2014, n. 2, doc. web n. 2904320);
9) il decreto-legge 28 giugno 2013, n. 76, convertito dalla l. 9 agosto 2013, n. 99, recante primi interventi urgenti per la promozione dell’occupazione, in special modo giovanile, e della coesione sociale. In particolare, l’art. 8 istituisce la banca dati delle politiche attive e passive all’interno delle strutture del Ministero del lavoro e delle politiche sociali, destinata a raccogliere le informazioni sui soggetti da collocare nel mondo del lavoro, sui servizi erogati a tal fine e sulle opportunità di impiego. Essa è costituita con il contributo informativo delle regioni e delle province autonome, delle province, dell’Isfol, dell’Istituto nazionale di previdenza sociale, di Italia Lavoro s.p.a., del Ministero dell’istruzione, dell’università e della ricerca, del Ministero del-l’interno, del Ministero dello sviluppo economico, delle Università pubbliche e pri-vate e delle Camere di commercio, industria, artigianato e agricoltura. La banca dati costituisce una componente del Sistema informativo lavoro (Sil) ex art. 11, d.lgs. n. 469/1997 e della Borsa continua nazionale del lavoro ex art. 15, d.lgs. n. 276/2003. Nella nuova banca dati confluiscono una serie di banche dati già esistenti (quali la banca dati percettori ex art. 19, comma 4, d.l. n. 185/2008 convertito con la l. n. 2/2009, l’anagrafe nazionale degli studenti e dei laureati delle università ex art. 1-bis, d.l. n. 105/2003 convertito con l. n. 170/2003) e la dorsale informativa ex art. 4, comma 51, l. n. 92/2012. Il Ministero del lavoro e delle politiche sociali è autoriz-zato a stipulare convenzioni con soggetti pubblici e privati per far confluire i dati nella banca dati in questione (ed eventualmente in altre banche dati costituite con la stessa finalità) nonché per determinare le modalità più opportune di raccolta ed ela-borazione dei dati su domanda e offerta di lavoro secondo le migliori tecniche ed esperienze (comma 5);
2
Legge europea e Legge di delegazione europea
Banca dati delle politiche attive e passive
10) la legge 27 giugno 2013, n. 77, recante la ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla prevenzione e la lotta contro la violenza nei confronti delle donne e la violenza domestica, fatta a Istanbul l’11 maggio 2011. Nel corso dei lavori parlamentari, l’Autorità ha segnalato all’ufficio legislativo del Ministero degli affari esteri l’opportunità di integrare il disegno di legge sotto il pro-filo della protezione dei dati personali in relazione all’art. 11, par. 1, lett. a), della Convenzione, nella parte in cui prevede la raccolta di “dati statistici disaggregati” su questioni relative a qualsiasi forma di violenza che rientri nel campo di applicazione della Convenzione (nota 21 maggio 2013). La disposizione appare, infatti, in con-flitto con la normativa nazionale in materia di rilevazioni statistiche (d.lgs. 6 settem-bre 1989, n. 322) e con le norme contenute nel Codice e rischia di arrecare pregiu-dizio alla riservatezza e alla dignità delle persone coinvolte in fatti di violenza sulle donne e, in primis, alle vittime stesse. Ciò in quanto la disposizione autorizza – in via generale e senza alcuna necessità di valutazione e ponderazione al riguardo – il trattamento di dati personali anche in forma disaggregata e non, invece, anonima o comunque “aggregata” come prevede la normativa sopra citata al fine di evitare l’i-dentificabilità degli interessati. Infatti, l’art. 9, d.lgs. n. 322/1989 – cui rinvia l’art. 108 del Codice – stabilisce che i dati raccolti nell’ambito di rilevazioni statistiche comprese nel Psn da parte degli uffici di statistica non possano essere esternati, comunicati o diffusi se non in forma aggregata in modo che non se ne possa trarre alcun riferimento a persone identificabili. Al riguardo, si segnala che il predetto dise-gno di legge non è stato integrato come richiesto dall’Autorità;
11) il decreto-legge 21 giugno 2013, n. 69, convertito dalla l. 9 agosto 2013, n. 98, recante disposizioni urgenti per il rilancio dell’economia, recante diverse dispo-sizioni di interesse per l’Autorità, in relazione ad alcune delle quali il Garante ha anche segnalato al Parlamento e al Governo specifiche criticità (cfr. note 5 luglio 2013, richiamate nel comunicato stampa del 9 luglio 2013, doc. web n. 2522062), ed in particolare:
a) l’art. 10 del decreto-legge, nella versione finale approvata dal Parlamento, “liberalizza” l’offerta di accesso alla rete Internet tramite tecnologia WiFi sotto tre aspetti: non è richiesta l’identificazione personale degli utilizza-tori; quando l’offerta di accesso ad internet non costituisce l’attività com-merciale prevalente del gestore (quali bar, alberghi, altri esercizi commer-ciali aperti al pubblico, università, etc.), non sono richieste né la licenza del questore (art. 7, d.l. 27 luglio 2005, n. 144, convertito, con modificazioni, dalla l. 31 luglio 2005, n. 155), né l’autorizzazione ministeriale ex art. 25 del d.lgs. 1° agosto 2003, n. 259; si facilita, infine, l’installazione delle relative apparecchiature (abrogazione del cd. patentino installatori, cioè dell’obbligo di affidare i lavori di allacciamento dei terminali a imprese abilitate). Il testo approvato definitivamente è il frutto di interventi modi-ficativi che si sono succeduti nel corso dei lavori parlamentari. L’originaria versione dell’art. 10 presentava invece forti criticità che il Garante ha segna-lato al Parlamento e al Governo. La disposizione originaria obbligava infatti i gestori a “garantire la tracciabilità del collegamento (MAC address)” e sta-biliva che la “registrazione della traccia delle sessioni”, ove non associata all’identità dell’utilizzatore, non costituiva trattamento di dati personali e non richiedeva adempimenti giuridici (commi 1, secondo periodo e 2, primo periodo). Il Garante ha osservato (nota 5 luglio 2013) preliminar-mente che con tali previsioni il Governo – probabilpreliminar-mente quale misura “compensativa” sotto il profilo della sicurezza e dell’ordine pubblico rispetto al venir meno della previa identificazione della persona che accede Prevenzione e la lotta
contro la violenza nei confronti delle donne
Rilancio dell’economia
Liberalizzazione dell’accesso ad internet “senza fili”
ad internet – avrebbe di fatto (re)introdotto l’obbligo per i “gestori” di trac-ciare (o comunque garantire la tracciabilità di) alcune informazioni che, per quanto non individuate in maniera chiara, sono comunque “riconducibili” all’accesso alla rete da parte dell’utilizzatore del terminale. Occorre infatti ricordare che taluni obblighi di monitoraggio e registrazione di dati erano stati stabiliti dal d.l. n. 144/2005 (cd. decreto Pisanu) per categorie di “gestori” diversi da coloro che offrono accesso a internet con tecnologia WiFi, e sono stati successivamente soppressi anche in ragione delle diffi-coltà e degli oneri legati alla loro applicazione (d.l. n. 225/2010). L’Autorità ha sottolineato che tali disposizioni, nell’escludere che il trattamento in parola costituisse un trattamento di dati personali, rischiavano di “impat-tare” sulla tutela dei diritti fondamentali e di confliggere con la definizione stessa di dato personale contenuta, oltre che nel Codice, nella stessa diret-tiva 95/46/CE. Quest’ultima, infatti, contiene una definizione di “dato personale” molto ampia, che ricomprende “qualunque informazione con-cernente una persona fisica identificata o identificabile […] direttamente o indirettamente, in particolare mediante riferimento a un numero di iden-tificazione o ad uno o più elementi specifici caratteristici della sua identità” (art. 2, par. 1, lett. a), direttiva 95/46/CE). In tale quadro, l’Autorità, con-sapevole dell’importanza dell’esigenza di contemperare la liberalizzazione dell’accesso a internet con la tutela della sicurezza pubblica e il contrasto della criminalità, ha ritenuto che fosse opportuno “stralciare” la disposi-zione dal decreto-legge ritenendo che tali problematiche, con le connesse implicazioni per la protezione dei dati personali, avrebbero potuto, sem-mai, trovare un più meditato approfondimento in una sede diversa e più idonea di quella consentita dai ristretti tempi di approvazione di un prov-vedimento d’urgenza;
b) l’art. 17 dispone misure per favorire la realizzazione del Fascicolo sanita-rio elettronico (infra Fse) modificando l’art. 12 (Fascicolo sanitasanita-rio elet-tronico e sistemi di sorveglianza nel settore sanitario) del d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla l. 17 dicembre 2012, n. 221. Anche l’art. 17 presentava (e presenta tuttora, nella versione defi-nitivamente approvata) criticità sotto il profilo della protezione dei dati personali che il Garante ha segnalato, in particolare al Ministro della salute. L’art. 12 nella sua formulazione originaria, prevedeva che – ferma restando la libera espressione del consenso dell’assistito ai fini dell’alimen-tazione del Fse – le Regioni e le Province autonome, il Ministero del lavoro e delle politiche sociali e il Ministero della salute potessero perse-guire le finalità di studio e ricerca scientifica, nonché di programmazione sanitaria e monitoraggio loro assegnate “senza l’utilizzo dei dati identifi-cativi degli assistiti e dei documenti clinici presenti nel Fse”. Ciò sul pre-supposto che per tali finalità, le quali non attengono alla cura della per-sona, fosse sufficiente utilizzare informazioni non identificative dei pazienti, in applicazione dei principi di necessità, proporzionalità e indi-spensabilità nel trattamento dei dati personali, e senza che fossero in alcun